資訊安全管理
資訊安全目標與政策
本公司秉持「維護證券市場安全」、「保障投資人權益」與「提昇服務品質」的責任,承諾達成下述資訊安全目標: 「充分運用資訊及通訊安全科技,支援交易資訊系統安全防護機制建置之有效性及完整性;保護證券交易及期貨系統相關資訊資產之機密性、正確性及可用性。」
為達本公司對資訊安全維護的期許與要求,本公司已訂定「資訊安全政策」,且配合組織發展訂定相關管控程序,並 考量資訊安全風險逐步強化相關管理機制,以建立一個完整、可行及有效的資訊安全管理系統。
資訊安全組織與權責
本公司設立「資訊安全小組」,由副總經理以上主管擔任召集人,各處主管或其指派之人擔任委員,負責推動、協調、監督及審查資通安全管理事項、 並配置有資訊安全專責主管協同資安、資訊人員處理有關資通安全預防及危機處理相關事宜等,以防範電腦網路犯罪與危機、維護資訊系統安全;並於緊急事故發生時,能迅速作必要之應變處置,在最短時間內回復正常運作,以降低該事故可能帶來之損害。
在資訊風險管理合作方面,本公司已建置與電信業者合作之 DDoS 防護機制,參加資安分享組織「金融資安資訊分享與分析中心(F-ISAC)」,並根據 F-ISAC 所發佈之威脅預警與重大漏洞通告,評估相關資安風險並執行相關加強措施。此外,本公司每年依資通安全事件通報應變辦法之規定,並配合「證券暨期貨市場電腦緊急應變支援小組」(Security and Future Computer Emergency Response Team,SFCERT)辦理社交工程演練、資通安全事件通報及應變演練。
資訊安全重要業務執行概況
- 持續建立及強化資訊安全管理措施
- 定期舉辦資訊安全教育訓練、提升同仁資訊安全意識及能力
- 定期辦理社交工程演練
- 定期向董事會呈報資訊安全辦理情形